ตอนที่ 2 ความเป็นมา ISO/IEC 27001(ต่อ)

มาตราฐาน

คำอธิบาย

ISO/IEC 27000:2016 Information technology — Security techniques — Information security management systems - Overview

ตัวนี้เป็นเหมือน บทนำของมาตราฐาน ISMS กล่าวถึง ความหมายของคำศัพย์ต่างๆ ที่อยู่ใน ISO/IEC 27001 และรวมถึง concept ของ ISMS

ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements

ตัวนี้เป็น ข้อกำหนดมาตราฐานการจัดการ ที่ทางผู้ตรวจ ใช้อ้างอิงในการตรวจ และออกใบรับรอง

หมายเหตุ: ในตอนต่อไปผมจะลงรายละเอียดของเล่มนี้ ในทุกประเด็น

ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls

ตัวนี้เป็นเหมือนคู่มือในการ implement ตัว control ของ ISMS

หมายเหตุ: ในตอนต่อไปผมจะลงรายละเอียดของเล่มนี้ ในทุกประเด็น

ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance

เป็น คู่มือในการในการ implement ระบบการจัดการ ISMS

ISO/IEC 27004:2016 Information technology — Security techniques ― Information security management ― Monitoring, measurement, analysis and evaluation

เป็นคู่มือ ที่ใช้ในการ การเฝ้าระวังติดตาม การวัด การวิเคราะห์ และ การประเมิน ของระบบ ISMS

ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management 

เป็นคู่มือการประเมินความเสี่ยง ของระบบ ISMS

Note: ปัจจุบันนี้ บางที่อาจจะใช้มาตราฐาน ISO 31000 มาแทน  

ISO/IEC 27006:2015 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

เป็นมาตราฐานที่ ใช้สำหรับหน่วยงานที่ออกใบรับรอง ISO/IEC 27001 ดังเช่น BSI

ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing

เป็น คู่มือการตรวจติดตาม รบบ ISMS

 

 

ISO/IEC 27017:2015 / ITU-T X.1631 — Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services

เป็นคู่มือ การ implement ตัว control ตาม ISO/IEC 27001 แต่เป็นมุมมองของ ผู้ให้บริการ cloud

ISO/IEC 27018:2014 — Information technology — Security techniques — Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors

เป็นคู่มือ ผู้ให้บริการ cloud ในการควบคุม ข้อมูลส่วนบุคล ของผู้ใช้บริการ

ISO 27799:2016 Health informatics — Information security management in health using ISO/IEC 27002

เป็ยคู่มือ ในการ implement ตัว control ตาม ISO/IEC 27001 แต่เป็นมุมมองของธุรกิจที่เกี่ยวข้องกับการแพทย์และสุขภาพ เช่น โรงพยาบาล 

 

จากข้อมูลข้างบน เป็น แค่ตัวอย่าง ของ ครอบครัว ISMS ที่มีการใช้กันหรือเป็นที่รู้จักกันในเมืองไทย แต่จริงแล้ว ยังมีอีหลายๆตัวที่ไม่ได้พูดถึง เช่น  ISO/IEC 27009, ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27013, ฯลฯ หากท่านใดสอนใจลองไปหา อ่านเพิ่มเติมนะครับ ใน www.iso.org, www.isosecurity.com

กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ (BSI)